[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Frage zu LDAP


Hi,

Am Montag, 16. April 2007 09:26 schrieb Patrick Machauer:
> ich wuerde mich anfangs an die von Samba3 vorgegebene Struktur halten:
> dc=organisation,dc=de
>  | - ou=group,dc=organisation,dc=de
>  |    |-  cn=Gruppe,ou=group,dc=organisation,dc=de
>  | -ou=people,dc=organisation,dc=de
>  |     |- uid=Benutzer,ou=people,dc=organisation,dc=de
>  |- ou=computers,dc=organisation,dc=de
>         |-uid=Rechnername,ou=computers,dc=organisation,dc=de

ja, das ist ein guter Startpunkt. Vorallem wenn es um nicht allzuviele 
Benutzer geht ist ein flache Struktur besser.


> Am Sonntag, 15. April 2007 schrieb Rainer Fleischhacker:
> > Hallo an alle,
> > ich moechte mich mit LDAP bzw. OpenLDAP beschaefitgen. Die Installation
> > ist soweit klar hat auch geklappt. Mein Interesse liegt darin was man
> > bei der Erstellung der Struktur so alles beachten soll?
> > Welche Fussangeln gibt es? Hat jemand Tipps aus der eigenen Praxis? Gibt
> > es Dinge die man grundsaetzlich vermeiden soll?

Meine erste LDAP-Installation (vor einigen Jahren) habe ich mit einer sehr 
verzweigten Struktur gemacht und es hat sich in der Praxis gezeigt dass dies 
mehr Aufwand als nutzen gebracht hat.

Ich lege noch gerne
  ou=contacts,dc=organisation,dc=de
an worin ich das globale Adressbuch speichere wobei ich ueber ACLs (bzw. 
LDAP-Gruppen) definieren kann wer darauf lesen und schreiben darf.
Dann lege ich auch meistens noch
  ou=roaming,dc=organisation,dc=de
an. Die Idee ist von Netscape. Hierin kann jeder Benutzer, sofern eine 
ou=$USER vorhanden ist, eigene Daten rein schreiben. z.B ein persoenliches 
Adressbuch.

Bei solchen Sachen ist zu beachten dass man korrekte ACLs (slapd.conf) 
verwendet und nicht ploetzlich ein normaler Benutzer neue Benutzer anlegen 
kann.

Im Prinzip kann man eine Baumstruktur bei LDAP beliebig anlegen und wird auch 
nicht wirklich Funktionseinschraenkungen damit bekommen. Dennoch empfehle ich 
eine sehr flache Struktur zu verwenden (solange man weniger als 100 Eintraege 
pro Ast hat) und die Baum-Struktur von den Zugriffsrechten ableiten 
(computers, people, contacts, roaming, ..).


Wenn Interesse besteht kann ich auch mal eine (Beispiel-)Konfiguration 
(slpad.conf und ldif) wie ich sie normalerweise umsetze hier posten.


-- 
Gruss
                                                          \|/
       eMHa                                              (o o)
------------------------------------------------------oOO--U--OOo--
 Markus Hochholdinger
 e-mail  mailto:Markus@xxxxxxxxxxxxxxxxx             .oooO
 www     http://www.hochholdinger.net                (   )   Oooo.
------------------------------------------------------\ (----(   )-
                                                       \_)    ) /
                                                             (_/



-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn